[发明专利]确定针对分组检查设备处的数据单元的负载分配

说明书

背景技术

分组检查设备可以被部署在网络中以检查通过网络传送的数据分组的内容。当被用于应用网络安全时，分组检查技术在多个协议层处被采用以识别可疑或恶意分组。在其它示例中，分组检查还可以被应用在其它领域中。随着联网技术的使用持续增长，分组检查设备的性能被调节以提供检查日益增加的网络业务水平的能力。

附图说明

关于以下附图描述一些实施例：

图1是依照一些实现的包括布置在堆叠中的分组检查设备的示例布置的框图；

图2是依照一些实现的示例分组检查设备的框图；

图3是根据一些实现的动态负载分配过程的流程图；以及

图4是根据一些实现的再平衡过程的流程图。

具体实施方式

为了增进系统执行被传送至网络的数据分组的分组检查的总体能力，可以在堆叠中布置多个分组检查设备。分组检查设备的堆叠可以是指分组检查设备的任何集合，其中集合中的分组检查设备是使用互连链路（例如高速互连链路）互连的。在一些示例中分组检查设备的堆叠可以是指这样的分组检查设备的物理堆叠，其中可以将一个分组检查设备物理地放置在另一分组检查设备之上。在其它示例中，分组检查设备的堆叠不必是一个在彼此顶上物理地堆叠的，而是可以被提供在允许分组检查设备的互连的一个或多个外壳中。

在一些实现中，每一个分组检查设备可以具有使用诸如以太网协议之类的任何合适网络协议而连接到网络的能力。在替换实现中，仅分组检查设备的子集可以连接到网络。

分组检查可以涉及审查分组的内容，其中所审查的内容包括分组的有效载荷且可能包括分组的报头。“分组”可以是指用于在电子设备之间承载数据的任何类型的数据单元。作为示例，分组可以包括互联网协议（IP）分组、以太网帧或任何其它类型的数据单元。

审查分组的内容可以出于各种目的而执行，包括安全目的（例如识别或阻挡未经授权的入侵、检测或阻挡诸如病毒或蠕虫之类的恶意软件、检测或阻挡垃圾邮件、检测协议非遵从、控制应用等等）。用于检测协议非遵从的分组检查试图识别未遵照或遵从一个或多个标准的数据。用于控制应用的分组检查可以涉及基于一个或多个准则而防止应用的执行或允许应用的执行。还可以出于其它目的而执行分组检查，诸如为了执行数据挖掘（以分析分组的内容来更好地理解通过网络传送的信息）、窃取（例如由政府机构或企业窃取）内容、审阅、系统监视（例如，以确定在诸如网络之类的系统中正在发生什么）等等。

分组检查的示例类型是深层分组检查（DPI），其审查多个协议层处的分组的内容。由分组检查执行的分组检查与分组的仅报头的检查相区别，后者典型地由交换机或路由器出于将分组路由至目的地的目的而完成。

为了避免在存在传入业务时使堆叠中的特定分组检查设备负担过重，可以实现负载分配机制或技术以允许一些传入分组从一个分组检查设备分配到堆叠中的另一分组检查设备。然而，与在堆叠中的分组检查设备之间分组的分配相关联的挑战是：在堆叠的分组检查设备之间分配的业务的量可能相对高。在装备成本和部署成本方面，不得不增加堆叠的分组检查设备之间的网络连接性的带宽以容纳分组检查设备之间相对高量的分配业务可能导致增加的成本。

另一问题涉及流亲和性，其规定：给定业务流的分组要由相同分组检查设备处置。在一些示例中，为了提供流亲和性，可以在传入分组中的某些信息上应用散列函数（或其它函数），其中信息可以包括协议、源地址和目的地地址。在分组的特定字段上应用散列函数产生映射到表的对应条目的散列值（或其它值），其中该条目包含涉及要检查分组的特定分组检查设备的值。在一些情况中，流亲和性可能导致相对大数目的分组被从入口分组检查设备转发到另一分组检查设备，这可能引起互连链路上的增加的业务。

而且，一些业务流可能消耗比其它业务流更多的资源，使得分组检查设备之间的业务流的分组的均匀分配可能仍引起分组检查设备上的不均匀负载。而且，在一些情况中，负载分配机制或技术可能假定：堆叠的分组检查设备全部都具有在处理传入业务方面相同的能力，这可能并不正确。